1
Picturesource:sxc.hu
Aspectos Legais e Regulatórios
em Cloud Computing
Anchises Moraes
@anchisesbr @RSASecurity @BSidesS...
2
• O que é Cloud Computing
• Aspectos Jurídicos
• Novas Regulamentações
Agenda
Source:sxc.hu
3
Picturesource:sxc.hu
CLOUD COMPUTING
O que é a computação em nuvem
4
O que é a computação em nuvem (0)
5
O que é a computação em nuvem (1)
“Cloud computing is a model for enabling
ubiquitous, convenient, on-demand network acc...
6
O que é a computação em nuvem (2)
7
O que é a computação em nuvem (3)
fonte: sxc.hu
Software as a Service
(SaaS)
Infrastructure as a Service
(IaaS)
Platform...
8
Receios para adoção da Nuvem
8Fonte: ISACA, “Why Cloud Computing Should Be Part of Business Strategy” (2015)
9
Benefícios de segurança: patches e
antivírus atualizados, proteção contra
spam, etc
Aumento na segurança da empresa
Melh...
10
Nuvem e Segurança
11
Picturesource:sxc.hu
ASPECTOS JURÍDICOS
Normas e Regramentos
12
Contrato de prestação de
serviços em que uma
empresa/pessoa física
(PROVEDOR) permite o
uso de seus recursos
computacio...
13
Vai depender do modelo de
negócio / cliente:
Legislação Aplicável
fonte: sxc.hu
14
Responsabilidade Civil
fonte: sxc.hu
Art. 14
Art. 927
15
Responsabilidade Civil:
Código Civil
fonte: sxc.hu
"Art. 927. Aquele que, por ato ilícito (arts. 186 e
187), causar dan...
16
Responsabilidade Civil:
Código de Defesa do Consumidor
fonte: sxc.hu
"Art. 14. O fornecedor de serviços responde,
indep...
17
• Lei nº 12.965
de 23 de Abril de 2014
• Direitos e garantias dos
usuários de Internet
Marco Civil da Internet
18
• Proteger a privacidade
do usuário
– Dados pessoais e
registros de acesso
• Exigência de termos de
uso claros
Art. 7°,...
19
• Aplicação da Legislação
Brasileira
• Mesmo se o Provedor
de Cloud tem sede no
exterior
Art. 11
Em qualquer operação d...
20
• Dever de guarda de logs
de aplicação
• Prazo de 6 meses
• Vale para Provedores de
Aplicação que sejam
pessoas jurídic...
21
• Provedor de Aplicação
só responde por
conteúdo de terceiro se
intimado judicialmente
e nada fizer
Art. 19
Com o intui...
22
Picturesource:sxc.hu
NOVAS REGULAMENTAÇÕES
Que nuvens temos no horizonte?
23
Motivação:
• Privacidade
• Proteção de Dados
• Padronização de
serviços
Regulamentações
24
• Leis de Privacidade de
Dados
• Padronização de ofertas
de Cloud Computing
• Padronização da
Segurança em Cloud
Comput...
25
Privacidade de Dados no Brasil
• PL 4060/2012,
deputado Milton Monti
(PR-SP)
• MJ: Anteprojeto de lei
de proteção de da...
26
• PL 5344/2013,
deputado Ruy Carneiro
(PSDB-PB)
– Relações entre usuários
e empresas
fornecedoras
– Responsabilidade pe...
27
Iniciativas Regulatórias Globais
fonte: sxc.hu
• Iniciativas da ISO/IEC
– ISO/IEC 27017:2015 –
Guidelines on informatio...
28
Guidelines on
Information Security
Controls for the use
of Cloud Computing
Services based on
ISO/IEC 27002
• Diretrizes...
29
Seção 6.1.1
Information security roles
and responsibilities
Exemplo - ISO/IEC 27017
Fonte: http://www.iso27001security....
30
NBR 27002:2013
Seção 12.4.3 - Registros de eventos (log) de administrador e
operador
Controle
Convém que as atividades ...
31
Como vai ficar a NBR 27017
Seção 12.4.3 - Registros de eventos (log) de administrador e
operador
O controle 12.4.3, a d...
32
• Publicada em 30/11/2015
• 30 páginas
• http://www.iso.org/iso/catalogue_detail?csnumber=43757
ISO/IEC 27017
33
• ABNT participou da
elaboração da norma
ISO/IEC 27017
• Versão Brasileira deve ir para
consulta nacional em breve (dez...
34
• Avaliação da segurança
dos provedores de
Nuvem
– Auto-avaliação
– Auditoria e certificação
• Baseado nas melhores
prá...
35
CSA Security, Trust & Assurance
Registry (STAR)
36
• Regulamentações Globais e Locais
• Privacidade x vigilância governamental
• Dependência da nuvem
• IoT
Para onde vamo...
37
• Anchises Moraes – @anchisesbr
• Walter Capanema – www.waltercapanema.com.br
• Cloud Security Alliance
https://www.clo...
38
Picturesource:sxc.hu
OBRIGADO
Anchises Moraes
Walter Capanema
Próximos SlideShares
Carregando em…5
×

Aspectos Jurídicos e Regulatórios da Computação em Nuvem - GTS dez2015

891 visualizações

Publicada em

Apresentação sobre as recentes mudanças legais e regulatórias que afetam a Computação em Nuvem sob a ótica da Segurança da Informação
Palestra apresentada no GTS em 11/12/2015 (http://gtergts.nic.br)

Publicada em: Internet
  • Seja o primeiro a comentar

Aspectos Jurídicos e Regulatórios da Computação em Nuvem - GTS dez2015

  1. 1. 1 Picturesource:sxc.hu Aspectos Legais e Regulatórios em Cloud Computing Anchises Moraes @anchisesbr @RSASecurity @BSidesSP Walter Capanema @waltercapanema
  2. 2. 2 • O que é Cloud Computing • Aspectos Jurídicos • Novas Regulamentações Agenda Source:sxc.hu
  3. 3. 3 Picturesource:sxc.hu CLOUD COMPUTING O que é a computação em nuvem
  4. 4. 4 O que é a computação em nuvem (0)
  5. 5. 5 O que é a computação em nuvem (1) “Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.” In “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
  6. 6. 6 O que é a computação em nuvem (2)
  7. 7. 7 O que é a computação em nuvem (3) fonte: sxc.hu Software as a Service (SaaS) Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Provedor de Computação em Nuvem Cliente de Computação em Nuvem
  8. 8. 8 Receios para adoção da Nuvem 8Fonte: ISACA, “Why Cloud Computing Should Be Part of Business Strategy” (2015)
  9. 9. 9 Benefícios de segurança: patches e antivírus atualizados, proteção contra spam, etc Aumento na segurança da empresa Melhorias em disponibilidade do serviço Nuvem e Segurança Fonte: Microsoft, “Small and midsize businesses cloud trust study: U.S. study results” 94% 91% 75%
  10. 10. 10 Nuvem e Segurança
  11. 11. 11 Picturesource:sxc.hu ASPECTOS JURÍDICOS Normas e Regramentos
  12. 12. 12 Contrato de prestação de serviços em que uma empresa/pessoa física (PROVEDOR) permite o uso de seus recursos computacionais (rede, servidores, espaço em disco, aplicações) por um CLIENTE. Conceito fonte: sxc.hu
  13. 13. 13 Vai depender do modelo de negócio / cliente: Legislação Aplicável fonte: sxc.hu
  14. 14. 14 Responsabilidade Civil fonte: sxc.hu Art. 14 Art. 927
  15. 15. 15 Responsabilidade Civil: Código Civil fonte: sxc.hu "Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará- lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem."
  16. 16. 16 Responsabilidade Civil: Código de Defesa do Consumidor fonte: sxc.hu "Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos".
  17. 17. 17 • Lei nº 12.965 de 23 de Abril de 2014 • Direitos e garantias dos usuários de Internet Marco Civil da Internet
  18. 18. 18 • Proteger a privacidade do usuário – Dados pessoais e registros de acesso • Exigência de termos de uso claros Art. 7°, incisos VII a XI VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; XI – publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet; Marco Civil da Internet
  19. 19. 19 • Aplicação da Legislação Brasileira • Mesmo se o Provedor de Cloud tem sede no exterior Art. 11 Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. § 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil. § 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil. (...) Marco Civil da Internet
  20. 20. 20 • Dever de guarda de logs de aplicação • Prazo de 6 meses • Vale para Provedores de Aplicação que sejam pessoas jurídicas Art. 15 O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. § 1º Ordem judicial poderá obrigar, por tempo certo, os provedores de aplicações de internet que não estão sujeitos ao disposto no caput a guardarem registros de acesso a aplicações de internet, desde que se trate de registros relativos a fatos específicos em período determinado. § 2º A autoridade policial ou administrativa ou o Ministério Público poderão requerer cautelarmente a qualquer provedor de aplicações de internet que os registros de acesso a aplicações de internet sejam guardados, inclusive por prazo superior ao previsto no caput, observado o disposto nos §§ 3º e 4º do art. 13. § 3º Em qualquer hipótese, a disponibilização ao requerente dos registros de que trata este artigo deverá ser precedida de autorização judicial, conforme disposto na Seção IV deste Capítulo. § 4º Na aplicação de sanções pelo descumprimento ao disposto neste artigo, serão considerados a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência. Marco Civil da Internet
  21. 21. 21 • Provedor de Aplicação só responde por conteúdo de terceiro se intimado judicialmente e nada fizer Art. 19 Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário. § 1º A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material. § 2º A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5º da Constituição Federal. (...) Marco Civil da Internet
  22. 22. 22 Picturesource:sxc.hu NOVAS REGULAMENTAÇÕES Que nuvens temos no horizonte?
  23. 23. 23 Motivação: • Privacidade • Proteção de Dados • Padronização de serviços Regulamentações
  24. 24. 24 • Leis de Privacidade de Dados • Padronização de ofertas de Cloud Computing • Padronização da Segurança em Cloud Computing – “Trusted Cloud” – Assessement & Audit Iniciativas Regulatórias Globais fonte: sxc.hu
  25. 25. 25 Privacidade de Dados no Brasil • PL 4060/2012, deputado Milton Monti (PR-SP) • MJ: Anteprojeto de lei de proteção de dados pessoais fonte: sxc.hu
  26. 26. 26 • PL 5344/2013, deputado Ruy Carneiro (PSDB-PB) – Relações entre usuários e empresas fornecedoras – Responsabilidade pelos dados – “Neutralidade tecnológica e de rede” Iniciativas Regulatórias no Brasil fonte: sxc.hu
  27. 27. 27 Iniciativas Regulatórias Globais fonte: sxc.hu • Iniciativas da ISO/IEC – ISO/IEC 27017:2015 – Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002 – ISO/IEC 27018:2014 – Code of practice for data protection controls for public cloud computing services
  28. 28. 28 Guidelines on Information Security Controls for the use of Cloud Computing Services based on ISO/IEC 27002 • Diretrizes que adicionam e complementam as oferecidas na norma ISO/IEC 27002 • Controles de segurança específicos para ambientes em nuvem ISO/IEC 27017
  29. 29. 29 Seção 6.1.1 Information security roles and responsibilities Exemplo - ISO/IEC 27017 Fonte: http://www.iso27001security.com/html/27017.html
  30. 30. 30 NBR 27002:2013 Seção 12.4.3 - Registros de eventos (log) de administrador e operador Controle Convém que as atividades dos administradores e operadores do sistema sejam registradas e os registros (logs) protegidos e analisados criticamente, a intervalos regulares. Diretrizes para implementação As pessoas que possuem conta de usuário privilegiado podem ser capazes de manipular os registros (logs) nos recursos de processamento da informação que estão sob o seu controle direto, sendo portanto necessário proteger e analisar criticamente os registros (logs) para manter o controle dos usuários privilegiados. Exemplo - ISO/IEC 27017 Fonte: http://www.iso27001security.com/html/27017.html
  31. 31. 31 Como vai ficar a NBR 27017 Seção 12.4.3 - Registros de eventos (log) de administrador e operador O controle 12.4.3, a diretriz de implementação associada e outras informações especificadas na ABNT NBR ISO/IEC 27002 são aplicáveis. As seguintes diretrizes específicas do setor também se aplicam. Diretrizes para implementação de serviços em nuvem: Exemplo - ISO/IEC 27017 Fonte: http://www.iso27001security.com/html/27017.html Cliente do serviço em nuvem Provedor de serviço em nuvem Se uma operação privilegiada é delegada ao cliente do serviço em nuvem, a operação e o desempenho dessas operações devem ser registradas. O cliente do serviço em nuvem deve determinar se os recursos de registro fornecidos pelo provedor de serviço em nuvem são apropriados ou se o cliente do serviço em nuvem deve implementar tais capacidades adicionais de registro (log). (nenhuma diretriz de implementação adicional)
  32. 32. 32 • Publicada em 30/11/2015 • 30 páginas • http://www.iso.org/iso/catalogue_detail?csnumber=43757 ISO/IEC 27017
  33. 33. 33 • ABNT participou da elaboração da norma ISO/IEC 27017 • Versão Brasileira deve ir para consulta nacional em breve (dez/2015): NBR 27017 - Código de prática para controles de segurança da informação com base na norma ISO/IEC 27002 para serviços em nuvem NBR 27017 www.abnt.org.br
  34. 34. 34 • Avaliação da segurança dos provedores de Nuvem – Auto-avaliação – Auditoria e certificação • Baseado nas melhores práticas da CSA – Cloud Controls Matrix (CCM) CSA Security, Trust & Assurance Registry (STAR)
  35. 35. 35 CSA Security, Trust & Assurance Registry (STAR)
  36. 36. 36 • Regulamentações Globais e Locais • Privacidade x vigilância governamental • Dependência da nuvem • IoT Para onde vamos?
  37. 37. 37 • Anchises Moraes – @anchisesbr • Walter Capanema – www.waltercapanema.com.br • Cloud Security Alliance https://www.cloudsecurityalliance.org • Cloud Security Alliance Brazil https://chapters.cloudsecurityalliance.org/brazil https://www.linkedin.com/groups?gid=3079437 https://www.facebook.com/CSA.CapituloBrasil Twitter - @csabr Contato
  38. 38. 38 Picturesource:sxc.hu OBRIGADO Anchises Moraes Walter Capanema

×